2014/5/2 更新: 本 Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。詳細は、こちらの投稿をご覧ください。
-—————————————————————-
本脆弱性に関し、お客様からの疑問や不安の声も多く寄せられたため、現時点で判明している事実をもとに、お客様から寄せられた疑問に Q&A 形式で回答しています。回避策については、 [回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される にまとめています。また、本ブログの最後に「回避策の解説」を記載しています。セキュリティ更新プログラムによる対応が行われるまでの間、お客様の環境を保護するために、記載の回避策を実施してください。
Q. Internet Explorer を起動するだけで攻撃されると聞きましたが、本当ですか?
A. いいえ。コンピューターワームなどとは異なり、Internet Explorer を立ち上げているだけで攻撃を受けるものではありません。Internet Explorer を使用して、攻撃者により特別に細工されたウェブサイトを表示した場合に、脆弱性が悪用される可能性があります。適切な対応を実施していただくことで、被害を未然に防ぐことが可能です。
Q. 今回問題になっているのはどのような脆弱性ですか?
A. リモートでコードが実行される脆弱性です。削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトに Internet Explorer がアクセスする方法にこの脆弱性が存在します。この脆弱性により、メモリが破損し、攻撃者が Internet Explorer の現在のユーザーのコンテキストで任意のコードを実行する可能性があります。
Q. 脆弱性とは何ですか?
A. 脆弱性とは、ソフトウェアにおけるセキュリティ上の問題点のことです。ウイルスなどに代表される悪意のあるソフトウェア (マルウェア) は、この脆弱性を悪用してシステムに侵入し、パスワードやクレジットカード情報を盗むなどの犯罪を行います。
Q. どのように攻撃されるのですか?
A. 攻撃者は、この脆弱性の悪用を意図して特別に細工した Web サイトをホストし、ユーザーを誘導 (例:偽装メール等で、悪意のあるサイトに誘導する) してその Web サイトを Internet Explorer で表示させます。ユーザーが、影響を受けるバージョンの Internet Explorer で特別に細工されたウェブサイトを閲覧すると、リモートでコードが実行される可能性があります。Internet Explorer で悪意のあるコードが実行されると、Internet Explorer が異常終了する、コンピューターがマルウェアに感染するなどします。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/Abuse_Web.jpg)
絵でみるセキュリティ情報で、一般的な「リモートでコードが実行される」脆弱性の攻撃パターンについての図説を載せていますので、併せてご参考ください。
Q. 攻撃されると、どのような被害が起きるのですか?
A. この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得できる可能性があります。よって、現在のユーザーが管理者ユーザー権限でログオンしている場合は、影響を受けるコンピューターが完全に制御され、情報搾取、任意のプログラムのインストール、データの表示、変更、削除等、さまざまな被害が発生する可能性があります。
Q.「細工されたウェブサイト」にアクセスしなければ、安全ですか?
A. はい。ただし、細工されたウェブサイトは一見安全に見えたり、正規のウェブサイトが改ざんされていたりすることもあります。一見しただけでは判別することは難しく、危険なサイトにアクセスしてしまったことさえ気づかない場合があります。したがって、[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行されるをご覧いただき、お使いのバージョンに合わせた回避策を実施して、万一細工されたウェブサイトにアクセスしてしまった場合でも、悪用されないよう対策してください。
Q. 一般ユーザーも危ないのですか?
A. マイクロソフトでは現在、Internet Explorer 9、10、11 に対する、限定的な標的型攻撃のみを確認しています。しかし、同じ脆弱性は Internet Explorer 6、7、8、9、10、11 のバージョンで存在しています。Internet Explorer をお使いのお客様は、適切な回避策を実施して、悪用を防ぐ対策の実施をお願いします。
Q. 標的型攻撃とはどんなものですか?
A. 標的型攻撃は、マルウェアなどを使って行われるサイバー攻撃のうち、特定の企業や組織を標的 (攻撃対象) として行われる攻撃です。通常、企業や組織の機密情報を盗み出す目的で行われます。
Q. 本件の最新情報はどこで公開されていますか?
A. 今後も日本のセキュリティ チームのブログで随時情報を提供・更新予定です。
Q. セキュリティ更新プログラムはいつ公開されますか?
A. 現在対応を進めており、調査が完了次第、マイクロソフトは、お客様を保護するための適切な措置を講じる予定です。これには、マイクロソフトの月例のセキュリティ更新プログラムのリリース、または、定例外のセキュリティ更新プログラムの提供が含まれます。それまでの間、ブログやアドバイザリに記載の回避策を適用して、悪用が行われないよう対策してください。
Q. マイクロソフトのマルウェア対策製品は、本脆弱性を悪用するマルウェアを検出しますか?
A. 本脆弱性を悪用するマルウェアを確認次第、随時、定義ファイルの更新を行っています。ただし、定義ファイルは、あくまでも、脆弱性の悪用を行うマルウェアの検出・駆除を行うことが目的です。脆弱性への対応としては、回避策を行った上で、定義ファイルを最新にし、既知のマルウェアを予防するようにしてください。
Q. Surface 2 / Surface RT を使用しており、Internet Explorer 以外のブラウザーを使用する選択肢がありません。Internet Explorer を使い続けても安全ですか?
A. 適切に回避策を実施いただいていれば、脆弱性の悪用を防ぐことができるため、Internet Explorer を使い続けても安全です。こちらを参考に、拡張保護モードの有効化を実施してください。
Q: Windows XP を使用しています。どうすればいいですか?
A: Windows XP は 2014/4/9 にサポートが終了しています。今後、適切なサポートを受けるためにも、なるべく早急にサポート対象の新しいバージョンの Windows への移行を検討してください。
Q. どの回避策を実施すればよいですか?
A. こちらのブログで、お客様環境に合わせて設定しやすい回避策を記載していますので、ご確認ください。なお、表に記載以外の回避策やすべての回避策を実施していただいても問題ありません。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/CUsersnoriegPictures.png)
回避策の解説
以下に、今回の脆弱性に対し、アドバイザリおよび [回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行されるで紹介している回避策を簡単に解説します。
・攻撃を失敗させるための対策 (EMET)
セキュリティ更新プログラムの提供は、たとえば建物への侵入経路を塞ぐことに相当します。建物の構造の変更を伴うため、対策 (工事) を完了するには時間がかかります。これに対して EMET は、警報装置のような働きをします。そして、EMET が攻撃を検知すると、すべての通路を閉鎖 (プログラムの停止) することで、攻撃を防ぎます。EMET は、このような手法で、今回の脆弱性に限らず、幅広く攻撃を防ぐことが可能です。
・Internet Explorer をシステムから分離する (拡張保護モード)
攻撃を行うためには、標的となったプログラム (Internet Explorer) を乗っ取り、コンピューター内部に深く侵入する必要があります。建物への侵入を例にすると、侵入者は、まずは侵入可能な部屋に入り込み、その部屋の扉を内側から開け、より価値のある場所へと移動しようとします。
今回の脆弱性では、Internet Explorer が悪用を試みる部屋に相当します。Internet Explorer の拡張保護モードは、部屋のドアが内側からも開かないようにする技術で、部屋に侵入をされた場合でも、部屋から出ることを阻止することで攻撃を防ぎます。
・攻撃の糸口を塞ぐ (VML の無効化)
今回の脆弱性を悪用するためには、まず Internet Explorer の一部として動作するプログラムを悪用し、Internet Explorer の特定の情報を見つける必要があります。建物の例でいえば、侵入に利用できる経路に関する図面を入手し、その図面を使って Internet Explorer という部屋に入り込むようなものです。このため、攻撃の糸口となる情報を失くしてしまえば攻撃を防ぐことが可能です。VML を無効にすることで、Internet Explorer を攻撃するための情報 (図面) を無くすことに相当します。攻撃の糸口がなくなれば、攻撃を行うことができなくなります。
関連情報
[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される